Le RGPD et les outils Web Analytics en quelques mots

Publié le : 4 Juin 2018

Le RGPD, Règlement Général de la Protection des Données, est un texte assez imprécis sur les outils web analytics. Les informations trouvées sur Internet sont contradictoires, vagues ou partielles. Il n'est de toute façon pas possible d'être exhaustif sur un tel sujet, qui dépend directement de chaque site ou dispositif digital. Prenons le parti de battre en brèche quelques idées reçues, avant d'en parler de vive voix si vous le souhaitez.

Qu’est-ce que le RGPD ?

Le Règlement Général de la Protection des Données européen s’applique depuis le 25 mai 2018 à toute entreprise qui collecte, traite, stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.
Les entreprises ne sont pas sanctionnées dès aujourd'hui mais doivent être en mesure de montrer que le processus est enclenché.

Plus de droits pour vos données ! Par Martin Vidberg, pour la CNIL
La CNIL et le G29 ont publié 6 dessins pour mieux comprendre les avancées du futur règlement européen pour les citoyens, réalisés par Martin Vidberg.

A qui s’applique le RGPD ?

Tous les acteurs économiques, sociaux et administration sont concernés vis-à-vis de leurs employés, partenaires, clients ou prospects.

Quel est le risque pour une structure qui n’est pas en conformité avec le RGPD ?

L’amende en cas de non-respect des règles peut aller jusqu’à 4% du CA mondial.

Quel avantage peut-on tirer du RGPD ?

Être transparent dans le traitement des données personnelles est une bonne opportunité d’image éthique.

Idées reçues et interprétation du RGPD orientée Web Analytics 

"Le RGPD, c’est une mise à jour du bandeau cookies et un texte plus long sur la protection des données"

Pas du tout : en fait, c’est aussi de nombreux autres sujets à traiter. Le RGPD concerne les données à caractère personnel sur le web, mais aussi dans les systèmes d’information et outils internes : DPO, sécurisation des données, portabilité des données, recueil de consentement, droit d’accès, de rectification, d’opposition, droit à l’oubli, justification / raison nécessitant la collecte de chaque donnée à caractère personnel, … Le processus peut être long et contraignant, n’attendez plus et visitez le site de la CNIL pour bâtir votre plan d’action.

Plus de droits pour vos données ! Plus de transparence -  Par Martin Vidberg, pour la CNIL
Je bénéficie de plus de lisibilité sur ce qui est fait de mes données et j’exerce mes droits plus facilement (droit d’accès, droit de rectification). Par Martin Vidberg, pour la CNIL

Le RGPD empêche de collecter les données Analytics si le visiteur ne donne pas son accord explicite

Sur ce point le RGPD dicte des règles assez peu précises, mais on peut aisément dire que ce n’est pas vrai dans tous les cas.

  • Il faut tout d’abord rappeler que les principales solutions Web Analytics interdisent la collecte de données nominatives dans leur conditions générales d’utilisation. Le RGPD agit en piqure de rappel et incite à vérifier qu’aucune donnée à caractère personnel n’est collectée de façon non intentionnelle (par exemple l’adresse e-mail qui apparait parfois dans les URL des formulaires).
  • L’aspect le plus problématique du RGPD côté Web Analytics concerne « les données dont l’utilisation peut indirectement identifier une personne ». C’est bien là que le recueil du consentement s’avère souvent nécessaire, à plusieurs titres.
    L’exemple le plus évident concerne les formulaires : les champs sont enregistrés en back-office avec un nom, une adresse postale, une date et une heure, … Heure et adresse postale qui pourront être rapprochées des données Analytics collectées (horodatage de l’envoi du formulaire suivi et localisation IP) et mettre un nom sur un visiteur Google Analytics anonyme. Les données Analytics croisées avec d’autres fichiers peuvent donc permettre d’identifier un individu, et de tracer sa navigation, ses précédentes et futures visites… 

Certains sites peuvent donc exemptés de recueil de consentement pour les données web analytics mais ils sont rares. Pour tous les autres, le recueil d'un consentement éclairé est nécessaire.  

Je me suis occupé de Google Analytics, je suis en conformité côté web

Google Analytics (ou tout autre solution Web Analytics) est rarement le seul tracking qui est déployé, intentionnellement ou pas. Peu nombreux sont les sites qui n’ont aucun de ces éléments : boutons de partages, fils réseaux sociaux, vidéos embarquées ou modules partenaires intégrées dans une page, widgets de sondages ou de jeux, Pixel Facebook et autres marqueurs de conversion publicitaire, etc. Il est nécessaire de vérifier l'ensemble des suivis intégrés sous des formes variées dans chaque page du site.

Conséquences sur les dispositifs Web Analytics 

Le RGPD s'étend bien au-delà des trackings déployés sur Internet. L'aspect Web Analytics du RGPD est particulièrement mis en avant bien que ce ne soit pas le sujet le plus structurant.

L'inquiétude la plus grande au sujets des Web Analytics concerne la perte d'un volume de données important, engendrant une incapacité à suivre les résultats et la performance d'un site. Les récriminations que l'on entend concernent essentiellement la lourdeur du processus, l'aspect rédhibitoire des demandes de consentement. Il n'y a pas de solution clés-en-main, universelle : chaque marquage a ses particularités, chaque site a ses Kpi. 

Le RGPD implique de faire le point sur les données essentielles et celles qui n'ont pas d'intérêt ou ne sont jamais exploitées. Il oblige les personnes concernées à s'emparer du sujet des données de façon responsable et éthique. Sa plus-value, au-delà de la protection des données personnelles, pourrait bien être de répandre une conscience informée et pointue autour de la donnée, de sa valeur et de ses exploitations.  

SEO/Content
Paid Media
Web Analytics / Data

Échangeons sur votre projet